Notizie, Truffe

Una truffa basata su falsi CAPTCHA trasforma un semplice clic in una bolletta telefonica salata

di Pieter Arntz | 28 aprile 2026
scrivere SMS

I ricercatori hanno documentato una campagna in atto da tempo che utilizza pagine CAPTCHA fasulle per indurre gli utenti di dispositivi mobili a inviare, in modo invisibile, decine di SMS internazionali.

Se avete trascorso un po' di tempo sul web oggi, i CAPTCHA potrebbero sembrarvi solo un rumore di fondo: cliccate su qualche semaforo, dimostrate di essere umani e andate avanti. Si tratta di qualcosa che i truffatori hanno imparato a sfruttare nelle campagne ClickFix, con cui inducono le vittime a infettare i propri dispositivi.

Recentemente, però, alcuni ricercatori hanno scoperto un espediente in cui la richiesta di «dimostrare di essere umani» si trasforma silenziosamente in un modo per «far lievitare il conto telefonico internazionale». La ricerca descrive una campagna di frode denominata «International Revenue Share Fraud» (IRSF). L'IRSF, nota anche come «frode tramite SMS pumping», sfrutta le complesse strutture tariffarie delle chiamate internazionali e del traffico SMS per generare entrate gonfiando il volume dei messaggi inviati verso determinate destinazioni.

Anziché installare malware sul dispositivo della vittima, la truffa sfrutta il funzionamento dei sistemi di fatturazione delle telecomunicazioni e delle reti di affiliazione, trasformando il normale traffico web in entrate derivanti da SMS a tariffa maggiorata per i criminali informatici.

Come funziona.

Il tipico svolgimento della truffa è il seguente:

  • Le vittime vengono reindirizzate tramite malvertising o reindirizzamenti TDS, spesso da domini di operatori di telecomunicazioni oggetto di typosquatting, verso una pagina che sembra un semplice CAPTCHA basato sulla selezione di immagini o su un quiz.
  • Per «continuare», viene chiesto loro di toccare un pulsante che apre l'app degli SMS con un messaggio e un elenco di destinatari già inseriti.
  • Non si tratta di un singolo SMS inviato a un unico numero. Il falso CAPTCHA prevede diverse fasi e ogni messaggio è preconfigurato con più di una dozzina di numeri internazionali in 17 paesi noti per le elevate tariffe di terminazione, tra cui Azerbaigian, Myanmar ed Egitto.

In un normale piano tariffario per privati, ciò può tradursi in circa 30 dollari di costi per SMS internazionali a persona, con una parte delle commissioni di terminazione che torna all'autore dell'attacco tramite accordi di condivisione dei ricavi.

Per impedirti di uscire semplicemente dalla pagina, queste pagine utilizzano una tecnica specifica di dirottamento del pulsante "Indietro". Il codice JavaScript riscrive la cronologia del browser e ti reindirizza alla truffa quando provi ad abbandonarla. I ricercatori hanno inoltre scoperto che la campagna era collegata a una rete di affiliazione in stile Click2SMS che pubblicizza "tutti i tipi di traffico consentiti" e la fatturazione tramite operatore, proponendo di fatto l'IRSF come un'ulteriore opzione di monetizzazione per editori poco raccomandabili.

Questa pratica danneggia sia i privati che gli operatori di telecomunicazioni. Le vittime si ritrovano con addebiti imprevisti per SMS a pagamento sulle loro fatture e possono avere difficoltà a individuarne la causa. Gli operatori versano una quota dei ricavi ai responsabili e possono dover sostenere perdite dovute a contestazioni da parte dei clienti o a storni di addebito.

Protezione per il cellulare , ovunque e in qualsiasi momento.

Come proteggersi

Non inviare mai un SMS per «dimostrare di essere un essere umano». I CAPTCHA legittimi funzionano interamente nel browser. Non aprono l'app degli SMS né quella del dialer.

Controlla regolarmente la bolletta del cellulare per individuare eventuali piccoli addebiti per SMS internazionali che non riconosci, non limitarti a verificare solo i picchi di spesa. Se noti qualcosa di sospetto, contesta subito l'addebito e chiedi al tuo operatore di bloccare gli SMS internazionali o a tariffa maggiorata, se non ne hai bisogno.

Utilizza un'app di protezione per dispositivi mobili che blocchi i siti dannosi noti, come i domini coinvolti in questa campagna:

  • sweeffg[.]online
  • colnsdital[.]com
  • zawsterris[.]com
  • megaplaylive[.]com
  • ruelomamuy[.]com
Malwarebytes ruelomamuy[.]com
Malwarebytes ruelomamuy[.]com

I truffatori sanno più cose su di te di quanto tu creda. 

Malwarebytes Mobile Security tiMobile Security da phishing, SMS truffaldini, siti dannosi e altro ancora. Con la funzione Scam Guard basata sull'intelligenza artificiale integrata e attiva in tempo reale. 

Download iOS Download Android  

Informazioni sull'autore

Pieter Arntz

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.

ULTIMI ARTICOLI

Insetti
Logo Microsoft

Patch Tuesday di maggio 2026: nessuna vulnerabilità zero-day, ma molte correzioni da applicare

Maggio 13, 2026

Il Patch Tuesday di maggio potrebbe non essere l'aggiornamento di grande portata che molti si aspettavano, ma contiene comunque numerose correzioni importanti che non andrebbero ignorate.

Notizie
Logo Claude

I risultati di ricerca falsi su Claude attirano Mac in un attacco ClickFix

Maggio 12, 2026

I ricercatori hanno scoperto una campagna ClickFix che utilizza false guide all'installazione di Claude per indurre Mac a infettarsi da soli.

Notizie
Un gruppo di giovani dall'aria felice

I dati rubati da Canvas sono stati "restituiti" in seguito a hacker , afferma Instructure

Maggio 12, 2026

Instructure afferma che i dati rubati da Canvas, che hanno interessato milioni di studenti e membri del personale, sono stati «restituiti». Ma non è così che funzionano le violazioni dei dati.

Articoli correlati

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe